UN NUOVO MODELLO DI SISTEMA PER L'IDENTIFICAZIONE DELLE INTRUSIONI INFORMATICHE: IL ROUTER-IDS

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "UN NUOVO MODELLO DI SISTEMA PER L'IDENTIFICAZIONE DELLE INTRUSIONI INFORMATICHE: IL ROUTER-IDS"

Transcript

1 UNIVERSITÀ DEGLI STUDI DI BERGAMO FACOLTÀ DI INGEGNERIA Corso di Laurea in Ingegneria Informatica Classe n. 9 UN NUOVO MODELLO DI SISTEMA PER L'IDENTIFICAZIONE DELLE INTRUSIONI INFORMATICHE: IL ROUTER-IDS Relatore Stefano Paraboschi Prova finale di Marco Balduzzi NOME Matricola n COGNOME ANNO ACCADEMICO 2003/2004

2 Questa pagina è stata lasciata intenzionalmente bianca.

3 Licenza Questo documento è distribuito sotto i termini della licenza GNU Free Documentation. Copyright (c) 2004 Marco Balduzzi. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included in the file called fdl.txt or downlodable from the Internet address 1

4 Indice 0. Sommario Sicurezza dell'informazione: dall'approccio tradizionale a quello moderno Il concetto di Intrusion Detection System Tassonomia degli Intrusion Detection System Classificazione per approccio Classificazione per caratteristiche Network-based e Host-based IDS Sistemi ed architetture rilevanti Host-based IDS Tripwire GrSecurity KSTAT Network-based IDS Snort snort_inline, un esempio di IPS I limiti degli attuali Intrusion Detection Sytem L'approccio context-based Il modello Router-IDS e una sua implementazione: RIDS Simple Network Managment Protocol (SNMP) L'architettura di RIDS L'implementazione Problemi sulle interfacce Attacchi DoS Volume di traffico anomalo Information gathering via portscanning Attacchi alla routing table Attacchi a CDP Attacchi SNMP Alto numero di connessioni Modifica delle configurazioni e dell'immagine IOS Attività di backup della configurazione e dell'immagine IOS

5 Fault hardware e software Risultati ottenuti RIDS Bibliografia Riferimenti

6 0. Sommario Questa tesi propone un modello innovativo di Intrusion Detection System (software per il rilevamento delle intrusioni informatiche) basato sull approccio context-based. Tre principi stanno alla base dell approccio utilizzato: focus, conoscenza a priori e correlazione. La prima parte del documento introduce gli obiettivi della sicurezza informatica, espressi in termini di confidenzialità, integrità e disponibilità dei dati (paradigma C.I.D.). Seguiranno due capitoli dedicati ai motivi che hanno spinto la comunità di ricerca nel campo dell Information Security allo studio di un approccio alternativo a quello classico del Who are you? What can you do?. Sarà illustrato il concetto di Intrusion Detection System e verrà descritto lo stato dell arte di questa tecnologia fornendo alcune classificazioni rispetto all approccio utilizzato nell individuazione delle intrusioni, alle caratteristiche e al tipo di sorgente dati gestita dell IDS (questa ultima proprietà ne determina la famiglia di appartenenza). Il quarto capitolo elenca le soluzioni Opensource più diffuse di Intrusion Detection System. Il quinto capitolo evidenzia i limiti degli attuali sistemi Intrusion Detection quali l alto numero di falsi negativi e positivi, la mancanza di valorizzazione delle informazioni e la limitata visione di contesto. La seconda parte del documento si apre con la descrizione dei tre principi dell approccio context-based: per focus si intende la capacità dell IDS di adattare il proprio comportamento a contesti di tipo e dimensione diversa; grazie alla conoscenza a priori la configurazione dell IDS è modellata secondo la tipologia dell infrastruttura di rete, del contesto operativo e dei rischi a cui è esporto il sistema monitorato; la correlazione tra eventi provenienti da più IDS arricchisce il contenuto informativo sintetizzando ricche informazioni sulla rilevazione delle intrusioni e riducendo il numero di falsi positivi/negativi. 4

7 Il settimo capitolo descrive il modello proposto presentandone una semplice implementazione software, sufficiente ad evidenziare le caratteristiche innovative e migliorative dell approccio context-based. Il codice sorgente del programma è stato inserito nel capitolo successivo. La tesi si conclude con la bibliografia e i riferimenti. 5

8 1. Sicurezza dell'informazione: dall'approccio tradizionale a quello moderno Gli obiettivi della sicurezza dell'informazione sono descritti in termini di confidenzialità, integrità e disponibilità. Questo modello prende il nome di paradigma C.I.D. (o usando i termini inglesi confidentiality, integrity e availability, paradigma C.I.A). La confidenzialità è la capacità di un sistema di offrire i propri servizi soltanto a chi ne ha l'autorità per farlo. Possiamo rappresentare formalmente questo attributo come una relazione di lettura tra chi usa il sistema e i servizi offerti da quest ultimo. Per integrità si definisce la capacità di un sistema di rendere possibile solo alle persone autorizzate la modifica delle sue risorse e dei suoi dati, in modo da mantenere una consistenza tra questi dati e le funzioni svolte dal sistema. Infine il termine disponibilità indica la capacità del sistema informatico di offrire sicuramente, tempestivamente e in ogni circostanza l'accesso alle persone che possiedono il diritto di farlo. Qualsiasi applicazione che offre un accesso multi utente richiede un livello di sicurezza minimo per garantire, quanto possibile, il paradigma C.I.D.. L'implementazione tradizionale di un sistema di sicurezza consiste nell'associazione utente privilegio secondo il paradigma identificazione e gestione dei privilegi, solitamente riassunto dal motto Who are you? What can you do? : il sistema chiede all'utente (che può essere una persona o un altro sistema) di identificarsi e usa questa identità per attivare una serie di regole operative. Il successo di questo paradigma sta nella sua ortogonalità rispetto al problema: non è infatti difficile applicare il modello di login e autenticazione ad un sistema esistente di qualsiasi tipo. Tuttavia il paradigma C.I.D., nella sua linearità e semplicità, rappresenta un mondo ideale impossibile da garantire certamente: un sistema informatico non potrà mai essere considerato perfettamente sicuro e nell'implementazione di un sistema di sicurezza è bene saperlo fin dall'inizio. Nessuna politica di sicurezza applicata al sistema potrà mai impedire che prima o poi si verifichi una intrusione, più o meno grave. I sistemi reali usati nelle infrastrutture odierne presentano problematiche di non facile 6

9 soluzione. Il bisogno sempre maggiore di sicurezza si scontra con la necessità di funzionalità del sistema stesso. Spesso ci si trova a dover giungere a un compromesso tra funzionalità e sicurezza. Sarebbe troppo facile garantire un livello di sicurezza certo restringendo l'accesso al sistema al punto tale da negare il servizio anche alle persone autorizzate. In tal caso si andrebbe soltanto contro il principio di disponibilità del paradigma C.I.D.! Come se ciò non bastasse è pratica comune per le aziende comprare il software sotto forma di COTS (Commercial, Off The Shelves) dal momento che mettersi a produrlo internamente comporterebbe un onere troppo alto da sopportare. Se questa pratica ha aspetti economici positivi, d'altra parte è una vera e propria minaccia per la sicurezza dell'azienda. Un software di terze parti rilasciato sotto copyright impedisce all'acquirente qualsiasi forma di controllo del codice, e lo obbliga ad affidare la propria produttività a un software spesso poco testato e lontano dai requisiti di sicurezza minimi. Inoltre l'esperto di sicurezza si trova ad applicare delle policy a un software che non può manipolare direttamente. Per lui diviene necessario aggiungere componenti security-releated a quelli esistenti che spesso sono di difficile integrazione e interoperabilità. E' difficile pensare che un aggregato di componenti talmente eterogenei rispetti le specifiche di sicurezza definite a priori. L'approccio tradizionale al paradigma C.I.D. pone le sue fondamenta sul concetto di password (e di token). Entrambi questi metodi di identificazione sono da considerarsi deboli. La scelta comune di utilizzare password corti e facili da ricordare permette ad un attaccante di recuperarle in poco tempo tramite un attacco a dizionario. Anche il vizio degli utenti di scrivere la propria password in posti visibili, come sul monitor del PC o su un post-it appeso sull'armadio dell'ufficio, non aiutano di certo a prevenire un furto di identità. Così come le password anche i token, benché entità fisiche uniche, possono essere rubati, persi o falsificati. A questo punto sono evidenti i limiti dell'approccio tradizionale al paradigma C.I.D., quello del Who are you? What can you do? basato sulla relazione risorsa-utilizzatore. Il concetto di Intrusion Detection System (IDS) è complementare al paradigma tradizionale e pone il suo fondamento sulla constatazione che non esiste sicurezza assoluta e che un sistema informatico, benché protetto con politiche di security elevate, prima o poi sarà vittima di una intrusione. Le proposizioni Che cosa stai cercando di 7

10 fare? Perché stai operando in questo modo? descrivono perfettamente il modus operandi dell'ids che risulta essere complementare a quello visto in precedenza. Seguirà una trattazione più ampia nel capitolo seguente. 8

11 2. Il concetto di Intrusion Detection System Gli Intrusion Detection System svolgono nel campo della sicurezza dell'informazione lo stesso ruolo che possiede l'antifurto della nostra auto: quello di individuare per tempo le azioni illecite di possibili ladri. Questo scopo è raggiunto combinando gli allarmi generati dall'ids al momento dell'intrusione con l'azione tempestiva del responsabile informativo 1 che provvedere ad attuare le opportune azioni di verifica. Gli IDS entrano in gioco nella difficile fase di rilevamento dell'intrusione, mentre i sistemi tradizionali affrontano il problema secondo il paradigma risorsa-utente. Analogamente a quanto succede per la nostra auto l'antifurto è solo l'atto finale di una messa in sicurezza della stessa, attraverso l'utilizzo di serrature e chiavi. Allo stesso modo, i sistemi di sicurezza basati sul paradigma C.I.D. rafforzano il perimetro del sistema informatico dalle possibili minacce per mezzo di firewall, proxy e quant'altro e il sistema stesso da attacchi locali mirati ad elevare i privilegi dell'attaccante. 2 Il concetto di Intrusion Detection System è stato coniato nel 1980 da P. Anderson [1] e recita: Intrusion detection systems analize information about the activity performed in a computer system or network, looking for evidence of malicious behaviours. Benchè siano passati più di due decenni dalla definizione di Intrusion Detection System e molto è stato scritto da allora in letteratura, solamente negli anni '90 videro la luce le prime implementazioni funzionanti di questi sistemi, sebbene molto più semplici di quelle proposte in teoria. E. Lundin e E. Jonsson in un loro paper dal titolo Survey of Intrusion Detection Research [2] propongono un modello generico di IDS che è illustrato in figura 1. 1 L'amministratore o il Site Security Officer (SSO). 2 La procedura di messa in sicurezza di un sistema informatico è conosciuta con il nome di hardening. 9

12 Fig. 1 L architettura generica di un Intrusion Detection System L'Event Generator svolge la funzione di data collection: recupera i dati dal sistema monitorato (target-system) 1 e li traduce in un linguaggio comprensibile all Intrusion Detection System a seguito delle direttive definite nella Data Collection Configuration. L'Event Generator può richiedere attivamente i dati al target-system che provvederà ad inviarne una copia o acquisire passivamente le informazioni che quest'ultimo produce (i log per esempio). Conseguentemente al processo di normalizzazione, utile soprattutto per omogeneizzare i dati provenienti da target-system differenti, le informazioni sono passante al componente d'analisi e contemporaneamente vengono depositate in un Log Data Storage mantenendo una History dei dati per analisi future. Il motore del sistema è l'analysis Engine che implementa tutti gli algoritmi di rilevazione delle intrusioni. L'Analysis Engine fa fortemente uso del Detection Policy in cui son depositate le informazioni preprogrammate su come rilevare le intrusioni e tutte le policy definite dall'amministratore. L'Analysis Engine può essere molto diverso da un IDS all'altro al contrario degli altri componenti dell'ids che rimangono all'incirca simili. Vedremo nel prossimo capitolo alcune implementazioni di Analysis Engine diverse in funzione delle famiglie di Intrusion Detection. L'unità finale di Response Unit risponde in seguito di un evento positivo con opportune 1 Da ora in poi si farà riferimento al sistema monitorato con il termine target-system o soggetto. 10

13 azioni. Il comportamento della Response Unit è personalizzato sulla base delle policy inserite nel database di Response Policy. Un IDS tradizionale, come detto all'inizio del capito, si limita ad avvisare il SSO a cui è relegato l'onere di un controllo approfondito; un IDS distribuito può generare un alert per un secondo IDS; in un IPS (Intrusion Prevention System) la Response Unit genera un'azione retroattiva sul target-system o su un componente esterno per prevenire una intrusione futura dello stesso tipo o da parte della stessa fonte, oppure per riportare il sistema nelle condizioni di funzionamento corretto. 11

14 3. Tassonomia degli Intrusion Detection System In letteratura sono state date numerose classificazioni dei sistemi Intrusion Detection e la più scontata è quella che si basa sull'approccio utilizzato nel processo di detection. 3.1 Classificazione per approccio Axelson in Research In Intrusion-Detection System: A Survey [3] identifica due grosse categorie che sfruttano due approcci profondamente diversi: - Anomaly-detection: il sistema calcola statisticamente e reagisce a deviazioni significative dal comportamento normale del soggetto. 1 Normale è definito in relazione al comportamento osservato precedentemente sul soggetto, ed è tipicamente aggiornato quando è disponibile una nuova conoscenza su di esso. Il sistema modella e autoapprende i nuovi profili di comportamento: questo aggiornamento è periodico e automatico. Anomaly detection può essere fatto in molti modi, per esempio attraverso reti neurali [DBS92] e analisi statistica complessa [JV94]. - Signature-detection (o misuse-detection): il sistema ricerca l'evidenza di una intrusione all'interno dei dati che corrispondono a firme (signatures) note di un comportamento intrusivo o anomalo. Solitamente queste firme sono costruite off-line, manualmente, man mano che nuovi tipi di attacchi sono resi pubblici alla comunità (per esempio inserendoli nel database Common Vulnerability and Exposures o CVE [5]) e sono mantenute in un database di conoscenza dell'ids. Ciascuno di questi approcci ha pregi e difetti che riassumiamo brevemente. Anomaly-detection: - Pregi: l'operatore non deve definire manualmente i profili normali di funzionamento del soggetto dal momento che l'ids è in grado di autoapprenderli. L'Intrusion Detection System, non possedendo un database di conoscenza definito a priori, è in grado di identificare intrusioni che sfruttano vulnerabilità nuove e non ancora rese pubbliche ( attacchi 0 day ) così come variazioni di attacchi noti. - Difetti: l'approccio anomaly-detection soffre di un alto numero di falsi negativi. Quando la distinzione tra anomalo e normale è poco marcata il sistema può 1 Per soggetto si intenda un utente, un host o una tipologia di rete. 12

15 facilmente classificare come corretto un comportamento che invece non lo è. Un scenario che mette in luce questo problema è quello in cui l'attaccante, cambiando lentamente il proprio comportamento nel tempo, costringe l'ids ad attribuirgli un profilo di normalità tale da pregiudicarne l'efficienza in fase di detection. Questo problema comporta un alto numero di falsi negativi (vedi poco dopo). Signature-detection: - Pregi: l'efficienza di un IDS che sfrutta un approccio di questo tipo è direttamente proporzionale alla qualità delle firme che adotta. Per cui in presenza di un database costantemente aggiornato e gestito con cura si può in linea teorica affermare che il numero di falsi positivi si mantiene basso. - Difetti: mantenere una base di conoscenza delle firme efficiente (vasta e in continuo aggiornamento) è un'attività difficile e richiede molte energie. Sicuramente questo metodo ha limitate capacità predittive poiché non è in grado di rilevare comportamenti intrusivi per cui non esistano delle firme corrispondenti nel database. Oltre agli approcci anomaly e misuse detection, un terzo approccio di tipo Ibrido integra entrambe le due categorie viste in precedenza. Sebbene gli Intrusion Detecion System ibridi traino vantaggio dai benefici offerti dai due approcci, vi sono tuttavia problemi di metriche decisionali e di falsi positivi che ne limitano il numero di implementazioni. 3.2 Classificazione per caratteristiche Senza entrare troppo nello specifico è facilmente classificare gli Intrusion Detecion System anche in funzione delle principali caratteristiche del sistema: - tempo d'analisi: i sistemi che analizzano il flusso dei dati in tempo reale sono definiti real-time o on-line, quelli che lavorano a posteriori sui dati catturati si chiamano non-real-time o off-line. E' ben non confondere un sistema di analisi forense con quello di un IDS offline: il primo è utilizzano a seguito di una intrusione per costruire lo scenario d'attacco ed è eseguito occasionalmente, il secondo è attivato periodicamente e, secondo la definizione di IDS, è utilizzato per rilevare possibili anomalie o intrusioni. - granularità del processo d'analisi: questa caratteristica permette di suddividere 13

16 gli IDS tra quelli che processano i dati continuamente e quelli che lo fanno per processi (batch). Anche per questa classificazione è bene non confondersi: un sistema off-line può processare i dati continuamente come uno on-line può farlo per piccoli lotti. - sorgente dei dati: la/e sorgente/i dati dell'event Generator (a tal proposito vedere la fig. 1) è una caratteristica talmente importante dell'intrusion Detection System che ne determina il tipo. Le due maggiori sorgenti sono il flusso dati della rete (network-data) e le informazioni locali del target-system (host-data) 1. Seguirà nel paragrafo 3.1 una discussione approfondita dei tipi di Intrusion Detection System in funzione della sorgente dati acquisita. - risposta del sistema: due categorie di IDS si contendono in questa sezione: passivi (on-line) e attivi (in-line). Sono stati espressi numerosi pareri contrastanti a riguardo di questa classificazione, ed è facile incorrere in discussioni in merito all'argomento nelle mailing-list che trattano la tecnologia degli Intrusion Detection System 2. E' mia abitudine identificare gli IDS passivi con quelli tradizionali, che a seguito di una intrusione si limitano ad avvisare le persone preposte al controllo del target-system di quanto accaduto; al contrario gli IDS attivi intervengono attivamente sul target-system modificandone lo stato. Gli IDS attivi, che preferisco chiamare in-line, sono la novità di questi ultimi anni, e molti vendor stanno investendo in questa tecnologia che hanno battezzato Intrusion Prevention System, il cui acronimo è IPS. Molti di voi mi riterranno tradizionalista dal momento che non credo nella bontà degli IPS. Il maggior motivo che mi ha spinto a considerare gli IPS una strategia commerciale adottata da molti vendor piuttosto che una tecnologia innovativa è la seguente. Il grosso problema di tutti gli IDS è l'alto tasso di errori commessi nel processo di rilevamento delle intrusioni. In letteratura sono stati identificate due grosse categorie di errori: i falsi negativi rappresentano l incapacità di un IDS di segnalare un caso in cui un attacco è riuscito a compromettere il target-system; i falsi positivi rappresentano una segnalazione di attacco o tentato attacco quando non esistono vulnerabilità corrispondenti e l'intrusione non è andata a buon fine. Se gli errori di falso negativo consistono in un mancato riconoscimento della forma d'attacco e pongono un limite all'efficacia dell'ids, 1 Log del kernel, log degli applicativi, attributi del filesystem, configurazione della memoria, etc.. 2 La più conosciuta è Focus-IDS di SecurityFocus. Trovate un riferimento del capitolo

17 quelli di falso positivo sono ancora più preoccupanti perchè riempiono il SSO di allarmi falsi e sbagliati! Tornando al paragone con l'antifurto della nostra macchina, un falso positivo è quello in cui scatta l'allarme dell'antifurto sebbene nessuno abbia provato a rubarci la macchina. Quante volte ci siamo lanciati in folle corsi nella speranza di trovare il ladro e accorgendosi successivamente di esser stati fregati da un tuono o da una foglia atterrata nell'auto? Parlerò più approfonditamente di questo dilemma nel capitolo 5. Se per gli Intrusion Detection System il problema dei falsi positivi è grave e comporta falsi allarmi per il SSO, per gli Intrusion Prevention System lo è ancor di più. Quando l'analysis Engine dell'ips sbaglia e commette un errore di falso positivo, interviene con una retroazione errata sul target-system che, nelle migliori delle situazioni, corrisponde a un blocco di traffico legittimo, cosa ben più grave! Concludendo, a mio avviso costruire un nuovo edificio su un terreno poco solido, è come porre le basi di un nuovo sistema software sull'instabilità di quello esistente, ignorando i problemi che lo caratterizzano: primo tra tutti l'eccessivo numero di falsi positivi. Credo che prima di estendere il concetto di IDS con quello di IPS sia necessario garantire alla struttura software originaria una stabilità e robustezza tale da permetterne un'evoluzione sicura. 3.3 Network-based e Host-based IDS All'interno del capitolo sulla tassonomia degli IDS è d'obbligo dedicare un paragrafo alle due grosse famiglie di Intrusion Detection System: quelli network-based (NIDS) e quelli host-based (HIDS). Come anticipato nello scorso paragrafo il tipo di dato acquisito dal sistema antiintrusione è di fondamentale importanza, tale da influenzarne la famiglia d appartenenza: il sensore di un network-based IDS gestisce una sorgente networkdata, quello di un host-based IDS una sorgente host-data. Dal momento che la classificazione per approccio (anomaly vs misuse) è ortogonale rispetto a quella per sorgente dati (host vs network), un network-based IDS può adottare sia un approccio anomaly-detection che misuse-detection (anche entrambi). Tuttavia è più facile trovare funzioni di misuse-detection all'interno di un NIDS e, viceversa, funzioni di anomaly-detection in un HIDS. 15

18 Storicamente gli host-based IDS furono i primi IDS a venire sviluppati e basano il loro funzionamento sul controllo in loco di log, syscall, file e qualsiasi altra funzione/variabile caratteristica del target-system, al fine di individuare possibili azione illecite nei confronti del sistema stesso. Dal momento che gli IDS host-based controllano un singolo soggetto (un host o un'applicazione), ne esistono di molti tipi a seconda del sistema operativo e del software installato (vedi paragrafo 4.1). Un network-based IDS presenta Logging/alerting un'architettura a layer: il sensore di cattura engine il traffico di rete, lo invia all'unità d'analisi che svolge opportune funzione di Detection engine decodifica, normalizzazione e analisi. La procedura di lettura in real-time del traffico è spesso implementata attraverso una libreria di rete di basso livello 1. Il Packet decoder sensore deve essere collocato opportunamente all'interno del sistema distribuito in modo da poter catturare tutte libpcap le informazioni necessarie per poter operare. Questa necessità spesso si traduce in complicate acrobazie da parte Network dell'installatore del sistema di intrusion detection. Con la veloce diffusione degli apparati di switching tutte le reti sono NIDS Architecture logicamente frammentate e il sensore deve Fig. 2 essere collegato alla porta di SPAN dello switch dopo averlo opportunamente configurato per replicare tutto il traffico verso il sensore [CISCO1]. Una seconda possibilità è inserire tap passivi nei segmenti che l'ids deve monitorare. L'esperienza vuole che statisticamente molti tap abbiano grossi problemi nel loro funzionamento. Questi problemi non si presentavano per le vecchie reti hubbate in cui era sufficiente collocare il sensore in una porta qualsiasi dell'hub. 1 La più conosciuta e utilizzata è la Libpcap [4] distribuita con licenza Opensource BSD [BSD]. 16

19 Questo ed altri limiti dei NIDS saranno discussi nel capitolo dedicato. In un network-based IDS con approccio misuse-detection l'attività di analisi svolta dall'analysis Engine è basata su un meccanismo di pattern matching tra il traffico di rete e la base dati delle firme. Nell'evoluzione di ogni Intrusion Detection System gli algoritmi di pattern matching sono diventati più sofisticati, complessi e inevitabilmente più onerosi in termini di risorse di sistema. In letteratura sono stati proposte molte soluzioni, alcune delle quali sono state implementate da vendor più o meno famosi. A tal proposito il paper di Sourcefire Snort Detection Revisited [SF1] è un buon punto di partenza nell'approfondimento del funzionamento di un Analysis Engine per un IDS network-based con approccio signature-detection. Atri documenti degni di nota sono [SF2], [SF3] e [SF4]. Piccola nota a margine, Sourcefire è il vendor che ha contribuito maggiormente al finanziamento e allo sviluppo del più famoso NIDS Opensource: Snort 1 [SNORT]. Così come assieme al bianco e al nero esistono sempre delle sfumature grigie intermedie, tutte le suite IDS più popolari utilizzano un approccio misto ottenendo un sistema anti-intrusione capace di controllare l'intera rete e le singole macchine allo stesso tempo. Una soluzione ibrida sfrutta le caratteristiche positive di entrambe le tipologie di Intrusion Detection, ma allo stesso tempo deve far fronte a un numero di falsi positivi ancora superiore. 1 Per maggiori informazioni si faccia riferimento al paragrafo

20 4. Sistemi ed architetture rilevanti L'intento di questo capitolo è di presentare le implementazioni più popolari di Intrusion Detection System (con l'eccezione di snort_inline [SI] che è il corrispondente IPS di Snort). Ritengo più istruttivo e coerente con l'approccio di ricerca presentare software Opensource dal momento che tale licenza da diritto al suo utilizzatore di provare, studiare, modificare e distribuire il software stesso senza alcuna forma di copyright 1. Nella bibliografia ho riportato i link da cui prelevare gratuitamente e sotto forma di codice sorgente tali applicativi. 4.1 Host-based IDS Esistono tre grosse famiglie di HIDS: - Filesystem-monitoring: controllano il target-system attraverso un confronto periodico tra un DB trusted e il filesystem attuale (firma, data e dimensione dei file). Alcuni esempi sono TripWire [TW] e Aide [AI]. - Log-monitoring: controllano l'attività del sistema per mezzo dell'analisi dei log del kernel o di particolari processi. (Swatch [SW], Logsurfer [LS], Logwatch [LW]). - OS-monitoring: controllano le attività di base del sistema operativo direttamente in kernel space, per esempio attraverso l'uso di moduli del kernel (Grsecurity [GR], KSTAT [KSTAT]). Come sempre, esistono HIDS appartenenti ad una singola famiglia e numerosi altri ibridi Tripwire Tripwire è un HIDS di tipo filesystem monitoring. Il suo funzionamento è abbastanza semplice (vedere la figura 3). La prima fase è quella di installare Tripwire sul targetsystem e di creare il DB trusted prima che il sistema venga messo in produzione (reso pienamente operativo) (punto 1): questa procedura ci garantisce che tutte le informazioni raccolte nella base dati siano corrette. Durante il normale funzionamento 1 La licenza Opensource più utilizzata è la GPL [GPL]. 18

21 (punto 2), Tripwire controlla quegli attributi dei file che non dovrebbero modificarsi, come la loro signature (ottenuta mediante hashing MD5), la loro dimensione, la data di creazione, etc. Quando si verifica una discordanza con la base dati costruita nel punto 1 lo strumento genera un allarme per l'amministratore (punto 3). Figura 3. L'architettura di Tripwire In questo modo, qualsiasi modifica dell'attaccante al filesystem (precisamente solo a quella parte di filesystem controllata da Tripwire) è tempestivamente segnalata al SSO. Ai più attenti tra voi sarà sorta una domanda spontanea: quali file far controllare a Tripwire?. La risposta a questo quesito sta nella risposta a un secondo quesito: quali file si presume andrà a modificare il nostro attaccante?. Ritengo sia molto importante per un site security officer conoscere il comportamento tipico dei suoi avversari. Far sicurezza è come giocare una partita con il nostro attaccante: sarà persa in partenza qualora l'attaccante abbia uno skill 1 troppo elevato rispetto a quello dell'amministratore. Una volta ottenuto l'accesso ad un sistema, l'interesse maggiore dell'attaccante diventa quello di mantenerlo per un tempo più lungo possibile. Questa necessità corrisponde a quella di nascondersi accuratamente all'occhio dell'amministratore che supervisiona le 1 Termine frequentemente utilizzato in ambito informatico per indicare l'abilità di una persona. 19

22 attività dello stesso. Esistono molte tecniche, più o meno raffinate, per assolvere questo compito: quella utilizzata dipenderà dallo skill dell'attaccante. Molte di queste richiedono la modifica di particolari files: i log di un demone, le configurazioni di un programma, i binari e le librerie di sistema. E' in queste situazioni che un HIDS come Tripwire genera un allarme avvisando l'amministratore di un comportamento anomalo causato, per l'appunto, dalla presenza di un intruso GrSecurity Lo stesso effetto viene raggiungo da GrSecurity sfruttando un approccio complementare: il controllo del sistema in kernel space. Attraverso opportune modifiche alle chiamate di sistema e ai meccanismi di gestione delle risorse, GrSecurity è in grado di riconoscere tempestivamente numerosi attacchi portati dall'attaccante per percorrere la scalata di privilegi verso root o per provocare un DoS. GrSecurity è allo stesso tempo un tool di hardening e un host-based IDS con le seguenti caratteristiche: Protezione contro i più comuni metodi per exploitare un sistema: Modifica dello spazio d'indirizzamento Race condition (specialmente in /tmp) Rottura di un ambiente chrottato Ricco sistema di ACL con un tool di amministrazione user-space Supporto per sysctl (modifica al volo via procfs) Meccanismo di logging degli attacchi e auditing di alcuni eventi: Exec() Chdir(2) mount(2)/unmount(2) Creazione ed elimina di IPC (semafori, code di messaggi) Fork fallite Supporto per l'architettura multi-processore KSTAT Completo la panoramica degli host-based IDS in kernel space citando il tool di Matteo 20

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Chiara Braghin chiara.braghin@unimi.it Firewall Firewall Sistema di controllo degli accessi che verifica tutto il traffico in transito Consente

Dettagli

Direttamente dalla sorgente Network IDS Oggi & nel Futuro

Direttamente dalla sorgente Network IDS Oggi & nel Futuro Direttamente dalla sorgente Network IDS Oggi & nel Futuro Graham Welch Director EMEA, Sourcefire Inc. Agenda Background sull Intrusion Detection Un giorno nella vita di Intrusion Prevention vs. Intrusion

Dettagli

Intrusion Detection Systems

Intrusion Detection Systems Intrusion Detection Systems Introduzione, Tecnologie, Implementazione Ing. Stefano Zanero Politecnico di Milano Richiamiamo il punto chiave Continuando a usare il paradigma classico Who are you? What can

Dettagli

Glossario servizi di Sicurezza Informatica offerti

Glossario servizi di Sicurezza Informatica offerti Glossario servizi di Sicurezza Informatica offerti Copyright LaPSIX 2007 Glossario servizi offerti di sicurezza Informatica SINGLE SIGN-ON Il Single Sign-On prevede che la parte client di un sistema venga

Dettagli

I sistemi di Intrusion Detection:

I sistemi di Intrusion Detection: I sistemi di Intrusion Detection: problemi e soluzioni http://www.infosec.it info@infosec.it Relatore: Igor Falcomatà Infosecurity 2002 I sistemi di Intrusion Detection (IDS): problemi e soluzioni - Pagina

Dettagli

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

Architetture e strumenti per la sicurezza informatica

Architetture e strumenti per la sicurezza informatica Università Politecnica delle Marche Architetture e strumenti per la sicurezza informatica Ing. Gianluca Capuzzi Agenda Premessa Firewall IDS/IPS Auditing Strumenti per l analisi e la correlazione Strumenti

Dettagli

IDS: Intrusion detection systems

IDS: Intrusion detection systems IDS/IPS/Honeypot IDS: Intrusion detection systems Tentano di rilevare: attività di analisi della rete tentativi di intrusione intrusioni avvenute comportamenti pericolosi degli utenti traffico anomalo

Dettagli

Network Hardening. Università degli Studi di Pisa. Facoltà di Scienze Matematiche, Fisiche e Naturali. Stage svolto presso BK s.r.

Network Hardening. Università degli Studi di Pisa. Facoltà di Scienze Matematiche, Fisiche e Naturali. Stage svolto presso BK s.r. Network Hardening Università degli Studi di Pisa Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea in Informatica Applicata Stage svolto presso BK s.r.l Tutor Accademico Candidato Tutor

Dettagli

Intrusion Detection System

Intrusion Detection System Capitolo 12 Intrusion Detection System I meccanismi per la gestione degli attacchi si dividono fra: meccanismi di prevenzione; meccanismi di rilevazione; meccanismi di tolleranza (recovery). In questo

Dettagli

Definizione e sintesi di modelli del traffico di rete per la rilevazione in tempo reale delle intrusioni in reti di calcolatori

Definizione e sintesi di modelli del traffico di rete per la rilevazione in tempo reale delle intrusioni in reti di calcolatori Definizione e sintesi di modelli del traffico di rete per la rilevazione in tempo reale delle intrusioni in reti di calcolatori Francesco Oliviero folivier@unina.it Napoli, 22 Febbraio 2005 ipartimento

Dettagli

Navigazione controllata

Navigazione controllata Easyserver nasce come la più semplice soluzione dedicata alla sicurezza delle reti ed al controllo della navigazione sul web. Semplice e flessibile consente di controllare e monitorare il corretto uso

Dettagli

Intrusion Detection System

Intrusion Detection System Intrusion Detection System Snort Giampaolo Fresi Roglia gianz@security.dico.unimi.it Sommario Collocazione in rete Scenari di installazione Snort Installazione e Configurazione su Debian Rete di esempio

Dettagli

Sicurezza dei calcolatori e delle reti

Sicurezza dei calcolatori e delle reti Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 11 A.A. 2010/20011 1 Firewall I firewall sono probabilmente la tecnologia per la protezione dagli attacchi di rete più diffusa

Dettagli

Prof. Filippo Lanubile

Prof. Filippo Lanubile Firewall e IDS Firewall Sistema che costituisce l unico punto di connessione tra una rete privata e il resto di Internet Solitamente implementato in un router Implementato anche su host (firewall personale)

Dettagli

Da IDS a IPS. Nel numero 23 del Maggio 2004, avevamo già accennato alle problematiche di filtraggio del traffico

Da IDS a IPS. Nel numero 23 del Maggio 2004, avevamo già accennato alle problematiche di filtraggio del traffico ICT Security n. 51, Dicembre 2006 p. 1 di 7 Da IDS a IPS Nel numero 23 del Maggio 2004, avevamo già accennato alle problematiche di filtraggio del traffico in tempo reale e della relazione tra Intrusion

Dettagli

Firewall Intrusion Detection System

Firewall Intrusion Detection System Firewall Intrusion Detection System Damiano Carra Università degli Studi di Verona Dipartimento di Informatica Parte I: Firewall 2 Firewall! I Firewall di rete sono apparecchiature o sistemi che controllano

Dettagli

Modulo 8. Architetture per reti sicure Terminologia

Modulo 8. Architetture per reti sicure Terminologia Pagina 1 di 7 Architetture per reti sicure Terminologia Non esiste una terminologia completa e consistente per le architetture e componenti di firewall. Per quanto riguarda i firewall sicuramente si può

Dettagli

Reti di calcolatori. Lezione del 25 giugno 2004

Reti di calcolatori. Lezione del 25 giugno 2004 Reti di calcolatori Lezione del 25 giugno 2004 Tecniche di attacco Denial of Service : impedisce ad una organizzazione di usare i servizi della propria rete; sabotaggio elettronico Gli attacchi DoS possono

Dettagli

La rete è una componente fondamentale della

La rete è una componente fondamentale della automazioneoggi Attenti alle reti La telematica si basa prevalentemente sulle reti come mezzo di comunicazione per cui è indispensabile adottare strategie di sicurezza per difendere i sistemi di supervisione

Dettagli

Alessandro Bulgarelli. Riccardo Lancellotti. WEB Lab Modena

Alessandro Bulgarelli. Riccardo Lancellotti. WEB Lab Modena Sicurezza in rete: vulnerabilità, tecniche di attacco e contromisure Alessandro Bulgarelli bulgaro@weblab.ing.unimo.it Riccardo Lancellotti riccardo@weblab.ing.unimo.it WEB Lab Modena Pagina 1 Black hat

Dettagli

SISTEMA DI LOG MANAGEMENT

SISTEMA DI LOG MANAGEMENT SIA SISTEMA DI LOG MANAGEMENT Controllo degli accessi, monitoring delle situazioni anomale, alerting e reporting Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it

Dettagli

Firewall e IDS/IPS. Che cos è un firewall? Ingress vs. Egress firewall. M.Aime, A.Lioy - Politecnico di Torino (1995-2011) 1

Firewall e IDS/IPS. Che cos è un firewall? Ingress vs. Egress firewall. M.Aime, A.Lioy - Politecnico di Torino (1995-2011) 1 Firewall e IDS/IPS Antonio Lioy < lioy @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Che cos è un firewall? firewall = muro tagliafuoco collegamento controllato tra reti a diverso livello

Dettagli

Sicurezza delle reti. Monga. Rilevamento delle intrusioni Classificazioni IDS. Misuse detection. Anomaly detection. Falsi allarmi

Sicurezza delle reti. Monga. Rilevamento delle intrusioni Classificazioni IDS. Misuse detection. Anomaly detection. Falsi allarmi Sicurezza dei sistemi e delle 1 Mattia Dip. di Informatica Università degli Studi di Milano, Italia mattia.monga@unimi.it a.a. 2014/15 Lezione XI: 1 cba 2011 15 M.. Creative Commons Attribuzione Condividi

Dettagli

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata FIREWALL OUTLINE Introduzione alla sicurezza delle reti firewall zona Demilitarizzata SICUREZZA DELLE RETI Ambra Molesini ORGANIZZAZIONE DELLA RETE La principale difesa contro gli attacchi ad una rete

Dettagli

Sicurezza: credenziali, protocolli sicuri, virus, backup

Sicurezza: credenziali, protocolli sicuri, virus, backup Sicurezza: credenziali, protocolli sicuri, virus, backup La sicurezza informatica Il tema della sicurezza informatica riguarda tutte le componenti del sistema informatico: l hardware, il software, i dati,

Dettagli

Migliorare l'efficacia delle tecnologie di sicurezza informatica grazie ad un approccio integrato e collaborativo

Migliorare l'efficacia delle tecnologie di sicurezza informatica grazie ad un approccio integrato e collaborativo Migliorare l'efficacia delle tecnologie di sicurezza informatica grazie ad un approccio integrato e collaborativo Marco Misitano, CISSP, CISM Advanced Technologies, Security Cisco Systems Italy misi@cisco.com

Dettagli

I sistemi di Intrusion Detection:

I sistemi di Intrusion Detection: I sistemi di Intrusion Detection: problemi e soluzioni http://www.infosec.it info@infosec.it Relatore: Igor Falcomatà Infosecurity 2002 I sistemi di Intrusion Detection (IDS): problemi e soluzioni - Pagina

Dettagli

PACKET FILTERING IPTABLES

PACKET FILTERING IPTABLES PACKET FILTERING IPTABLES smox@shadow:~# date Sat Nov 29 11:30 smox@shadow:~# whoami Omar LD2k3 Premessa: Le condizioni per l'utilizzo di questo documento sono quelle della licenza standard GNU-GPL, allo

Dettagli

Connessioni sicure: ma quanto lo sono?

Connessioni sicure: ma quanto lo sono? Connessioni sicure: ma quanto lo sono? Vitaly Denisov Contenuti Cosa sono le connessioni sicure?...2 Diversi tipi di protezione contro i pericoli del network.....4 Il pericolo delle connessioni sicure

Dettagli

Sicurezza architetturale, firewall 11/04/2006

Sicurezza architetturale, firewall 11/04/2006 Sicurezza architetturale, firewall 11/04/2006 Cos è un firewall? Un firewall è un sistema di controllo degli accessi che verifica tutto il traffico che transita attraverso di lui Consente o nega il passaggio

Dettagli

Monitorare la superficie di attacco. Dott. Antonio Capobianco (Founder and CEO Fata Informatica)

Monitorare la superficie di attacco. Dott. Antonio Capobianco (Founder and CEO Fata Informatica) Monitorare la superficie di attacco Dott. Antonio Capobianco (Founder and CEO Fata Informatica) Vulnerabilità Difetto o debolezza che può essere sfruttata per violare la politica di sicurezza di un sistema(*)

Dettagli

Architetture dei WIS. Definizione di WIS. Benefici dei WIS. Prof.ssa E. Gentile a.a. 2011-2012

Architetture dei WIS. Definizione di WIS. Benefici dei WIS. Prof.ssa E. Gentile a.a. 2011-2012 Architetture dei WIS Prof.ssa E. Gentile a.a. 2011-2012 Definizione di WIS Un WIS può essere definito come un insieme di applicazioni in grado di reperire, cooperare e fornire informazioni utilizzando

Dettagli

Alcuni elementi di sicurezza sulle reti

Alcuni elementi di sicurezza sulle reti Alcuni elementi di sicurezza sulle reti La sicurezza è un aspetto centrale per le attuali reti dati. Come tutti sanno le minacce provenienti da Internet aumentano di continuo, e le possibilità di attacco

Dettagli

Intrusion Detection System. Giampaolo Fresi Roglia gianz@security.dico.unimi.it

Intrusion Detection System. Giampaolo Fresi Roglia gianz@security.dico.unimi.it Intrusion Detection System Giampaolo Fresi Roglia gianz@security.dico.unimi.it Sommario Introduzione Richiami alla sicurezza Informatica Intrusion Detection Systems Strategie di monitoraggio Localizzazione

Dettagli

hplinux sommario 7-11-2001 13:14 Pagina V Indice Introduzione

hplinux sommario 7-11-2001 13:14 Pagina V Indice Introduzione hplinux sommario 7-11-2001 13:14 Pagina V Indice Introduzione XIII Capitolo 1 Introduzione agli strumenti di sicurezza Open Source 1 Strumenti utilizzati negli esempi di questo libro 2 1.1 Licenza GPL

Dettagli

ACCESSNET -T IP NMS. Network Management System. www.hytera.de

ACCESSNET -T IP NMS. Network Management System. www.hytera.de ACCESSNET -T IP NMS Network System Con il sistema di gestione della rete (NMS) è possibile controllare e gestire l infrastruttura e diversi servizi di una rete ACCESSNET -T IP. NMS è un sistema distribuito

Dettagli

LAN MAN WAN. Una internet è l'insieme di più reti reti distinte collegate tramite gateway/router

LAN MAN WAN. Una internet è l'insieme di più reti reti distinte collegate tramite gateway/router Rete di reti (interrete, internet) 2 Prof. Roberto De Prisco TEORIA - Lezione 8 Rete di reti e Internet Università degli studi di Salerno Laurea e Diploma in Informatica Una rete di comunicazione è un

Dettagli

KLEIS A.I. SECURITY SUITE

KLEIS A.I. SECURITY SUITE KLEIS A.I. SECURITY SUITE Protezione delle applicazioni web Kleis A.I. SecureWeb www.kwaf.it Cos'è Kleis A.I. SecureWeb? Kleis A.I. SecureWeb è un modulo software della Kleis A.I. Security Suite che ha

Dettagli

Besnate, 24 Ottobre 2009. Oltre il Firewall. pipex08@gmail.com

Besnate, 24 Ottobre 2009. Oltre il Firewall. pipex08@gmail.com Besnate, 24 Ottobre 2009 Oltre il Firewall Autore: Gianluca pipex08@gmail.com Cos'è un firewall i FIREWALL sono i semafori del traffico di rete del nostro PC Stabiliscono le regole per i pacchetti che

Dettagli

Sicurezza dei sistemi SIP: analisi sperimentale di possibili attacchi e contromisure

Sicurezza dei sistemi SIP: analisi sperimentale di possibili attacchi e contromisure UNIVERSITÀ DEGLI STUDI DI PISA FACOLTÀ DI INGEGNERIA Corso di Laurea in INGEGNERIA DELLE TELECOMUNICAZIONI Tesi di Laurea Sicurezza dei sistemi SIP: analisi sperimentale di possibili attacchi e contromisure

Dettagli

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Visionest S.p.A. Padova, 11 giugno 2002 David Bramini david.bramini@visionest.com > Agenda Proteggere

Dettagli

SHARKMAIL by 2000net. Caratteristiche principali. Più 98% dello spam viene eliminato

SHARKMAIL by 2000net. Caratteristiche principali. Più 98% dello spam viene eliminato SHARKMAIL by 2000net La 2000net ha investito molte risorse per combattere il fenomeno dello spam e oggi è pronta a fornire una soluzione ad elevato livello tecnologico indirizzato al settore Business in

Dettagli

Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza

Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza Microsoft Windows è il sistema operativo più diffuso, ma paradossalmente è anche quello meno sicuro.

Dettagli

Il firewall Packet filtering statico in architetture avanzate

Il firewall Packet filtering statico in architetture avanzate protezione delle reti Il firewall Packet filtering statico in architetture avanzate FABIO GARZIA DOCENTE ESPERTO DI SECURITY UN FIREWALL PERIMETRALE È IL PUNTO CENTRALE DI DIFESA NEL PERIMETRO DI UNA RETE

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 10 e 11 Marco Fusaro KPMG S.p.A. 1 Risk Analysis I termini risk analysis

Dettagli

Firewall. Alfredo De Santis. Maggio 2014. Dipartimento di Informatica Università di Salerno. ads@dia.unisa.it http://www.dia.unisa.

Firewall. Alfredo De Santis. Maggio 2014. Dipartimento di Informatica Università di Salerno. ads@dia.unisa.it http://www.dia.unisa. Firewall Alfredo De Santis Dipartimento di Informatica Università di Salerno ads@dia.unisa.it http://www.dia.unisa.it/professori/ads Maggio 2014 Pacchetti I messaggi sono divisi in pacchetti I pacchetti

Dettagli

VPN (OpenVPN - IPCop)

VPN (OpenVPN - IPCop) VPN (OpenVPN - IPCop) Davide Merzi 1 Sommario Indirizzo IP Reti Pubbliche Private Internet Protocollo Firewall (IPCop) VPN (OpenVPN IPsec on IPCop) 2 Indirizzo IP L'indirizzo IP (Internet Protocol address)

Dettagli

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica. Sistemi e tecnologie per la multimedialità e telematica Fabio Burroni Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena burronif@unisi unisi.itit La Sicurezza delle Reti La presentazione

Dettagli

Protocolli di Sessione TCP/IP: una panoramica

Protocolli di Sessione TCP/IP: una panoramica Protocolli di Sessione TCP/IP: una panoramica Carlo Perassi carlo@linux.it Un breve documento, utile per la presentazione dei principali protocolli di livello Sessione dello stack TCP/IP e dei principali

Dettagli

Network Intrusion Detection

Network Intrusion Detection Network Intrusion Detection Maurizio Aiello Consiglio Nazionale delle Ricerche Istituto di Elettronica e di Ingegneria dell Informazione e delle Telecomunicazioni Analisi del traffico E importante analizzare

Dettagli

Giuseppe MARULLO, Antonio CAMPA, Antonio TOMMASI, Marco FERRI Ufficio Gestione Dorsale di Ateneo dorsale@unisalento.it

Giuseppe MARULLO, Antonio CAMPA, Antonio TOMMASI, Marco FERRI Ufficio Gestione Dorsale di Ateneo dorsale@unisalento.it La virtualizzazione delle risorse di rete e dei sistemi di sicurezza: l implementazione di router e firewall virtuali sul bordo di una rete dati di accesso al GARR Giuseppe MARULLO, Antonio CAMPA, Antonio

Dettagli

KASPERSKY SECURITY FOR BUSINESS

KASPERSKY SECURITY FOR BUSINESS SECURITY FOR BUSINESS Le nostre tecnologie perfettamente interoperabili Core Select Advanced Total Gestita tramite Security Center Disponibile in una soluzione mirata Firewall Controllo Controllo Dispositivi

Dettagli

Il Provvedimento del Garante

Il Provvedimento del Garante Il Provvedimento del Garante Il provvedimento del Garante per la Protezione dei dati personali relativo agli Amministratori di Sistema (AdS) Misure e accorgimenti prescritti ai titolari dei trattamenti

Dettagli

Attacchi e Contromisure

Attacchi e Contromisure Sicurezza in Internet Attacchi e Contromisure Ph.D. Carlo Nobile 1 Tipi di attacco Difese Sommario Firewall Proxy Intrusion Detection System Ph.D. Carlo Nobile 2 Attacchi e Contromisure Sniffing Connection

Dettagli

SICUREZZA. Sistemi Operativi. Sicurezza

SICUREZZA. Sistemi Operativi. Sicurezza SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1 SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Sicurezza a livello IP: IPsec e le reti private virtuali

Sicurezza a livello IP: IPsec e le reti private virtuali Sicurezza a livello IP: IPsec e le reti private virtuali Davide Cerri Sommario L esigenza di proteggere l informazione che viene trasmessa in rete porta all utilizzo di diversi protocolli crittografici.

Dettagli

Elementi di Sicurezza e Privatezza. Proteggere la rete: tecnologie Lez. 13

Elementi di Sicurezza e Privatezza. Proteggere la rete: tecnologie Lez. 13 Elementi di Sicurezza e Privatezza Proteggere la rete: tecnologie Lez. 13 Firewall I firewall sono probabilmente la tecnologia per la protezione dagli attacchi di rete più diffusa Un Internet firewall,

Dettagli

Realizzazione di una Infrastruttura di Sicurezza

Realizzazione di una Infrastruttura di Sicurezza Realizzazione di una Infrastruttura di Sicurezza Andrea Lanzi, Lorenzo Martignoni e Lorenzo Cavallaro Dipartimento di Informatica e Comunicazione Facoltà di Scienze MM.FF.NN. Università degli Studi di

Dettagli

Security Scan e Penetration Testing

Security Scan e Penetration Testing Security Scan e Penetration Testing esperienze di una realtà specializzata http://www.infosec.it info@infosec.it Il Net Probing INFOSEC Relatore: Stefano Venturoli Infosecurity 2002 Security Scan e Penetration

Dettagli

Sviluppo siti e servizi web Programmi gestionali Formazione e Consulenza Sicurezza informatica Progettazione e realizzazione di reti aziendali

Sviluppo siti e servizi web Programmi gestionali Formazione e Consulenza Sicurezza informatica Progettazione e realizzazione di reti aziendali 1 Caratteristiche generali Nati dall esperienza maturata nell ambito della sicurezza informatica, gli ECWALL di e-creation rispondono in modo brillante alle principali esigenze di connettività delle aziende:

Dettagli

Tecniche di prevenzione, protezione e identificazione degli attacchi informatici

Tecniche di prevenzione, protezione e identificazione degli attacchi informatici Tecniche di prevenzione, protezione e identificazione degli attacchi informatici Relatori: Marco Balduzzi, Paolo Carpo 30 Settembre 2004 Il paradigma C.I.D. Descrive gli obiettivi della sicurezza informatica:

Dettagli

LA SICUREZZA INFORMATICA SU INTERNET LE MINACCE

LA SICUREZZA INFORMATICA SU INTERNET LE MINACCE LE MINACCE I rischi della rete (virus, spyware, adware, keylogger, rootkit, phishing, spam) Gli attacchi per mezzo di software non aggiornato La tracciabilità dell indirizzo IP pubblico. 1 LE MINACCE I

Dettagli

Riccardo Paterna

Riccardo Paterna <paterna@ntop.org> Monitoring high-speed networks using ntop Riccardo Paterna Project History Iniziato nel 1997 come monitoring application per l'università di Pisa 1998: Prima release pubblica v 0.4 (GPL2)

Dettagli

Sicurezza e virtualizzazione per il cloud

Sicurezza e virtualizzazione per il cloud Sicurezza e virtualizzazione per il cloud Con il cloud gli utenti arrivano ovunque, ma la protezione dei dati no. GARL sviluppa prodotti di sicurezza informatica e servizi di virtualizzazione focalizzati

Dettagli

ARP SPOOFING - Papaleo Gianluca

ARP SPOOFING - Papaleo Gianluca ARP SPOOFING - Papaleo Gianluca ARP spoofing è un attacco che può essere effettuato solo dall interno di una rete locale o LAN (Local Area Network). Questa tecnica si basa su alcune caratteristiche di

Dettagli

Sicurezza applicata in rete

Sicurezza applicata in rete Sicurezza applicata in rete Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico e dei

Dettagli

TECNICO SUPERIORE PER I SISTEMI E LE TECNOLOGIE INFORMATICHE

TECNICO SUPERIORE PER I SISTEMI E LE TECNOLOGIE INFORMATICHE ISTRUZIONE E FORMAZIONE TECNICA SUPERIORE SETTORE I.C.T. Information and Communication Technology TECNICO SUPERIORE PER I SISTEMI E LE TECNOLOGIE INFORMATICHE STANDARD MINIMI DELLE COMPETENZE TECNICO PROFESSIONALI

Dettagli

Monitoring high-speed networks using ntop Riccardo Paterna

Monitoring high-speed networks using ntop Riccardo Paterna Monitoring high-speed networks using ntop Riccardo Paterna Project History Iniziato nel 1997 come monitoring application per l'università di Pisa 1998: Prima release

Dettagli

Gestione degli accessi al sistema(autenticazione) e ai locali. Analisi del traffico di rete (Firewall, IDS/IPS)

Gestione degli accessi al sistema(autenticazione) e ai locali. Analisi del traffico di rete (Firewall, IDS/IPS) Contromisure Contromisure Gestione degli accessi al sistema(autenticazione) e ai locali Antivirus Analisi del traffico di rete (Firewall, IDS/IPS) Analisi utilizzo delle risorse di sistema, accessi (IDS/IPS)

Dettagli

PROGETTO - Ingegneria del Software. Università degli Studi di Milano Polo di Crema. Corso di laurea in Scienze Matematiche, Fisiche e Naturali

PROGETTO - Ingegneria del Software. Università degli Studi di Milano Polo di Crema. Corso di laurea in Scienze Matematiche, Fisiche e Naturali Università degli Studi di Milano Polo di Crema Corso di laurea in Scienze Matematiche, Fisiche e Naturali INFORMATICA Corso di Ingegneria del Software progetto IL SISTEMA CALENDAR Presentato al dott. Paolo

Dettagli

Descrizione servizio Websense Hosted Mail Security

Descrizione servizio Websense Hosted Mail Security Descrizione servizio Websense Hosted Mail Security Alla luce della crescente convergenza delle minacce nei confronti del Web e della posta elettronica, oggi è più importante che mai poter contare su una

Dettagli

Payment Card Industry (PCI) Data Security Standard

Payment Card Industry (PCI) Data Security Standard Payment Card Industry (PCI) Data Security Standard Procedure per la scansione di sicurezza Versione 1.1 Release: settembre 2006 Indice generale Finalità... 1 Introduzione... 1 Ambito di applicazione dei

Dettagli

VULNERABILITY ASSESSMENT E PENETRATION TEST

VULNERABILITY ASSESSMENT E PENETRATION TEST VULNERABILITY ASSESSMENT E PENETRATION TEST Una corretta gestione della sicurezza si basa innanzitutto su un adeguata conoscenza dell attuale livello di protezione dei propri sistemi. Partendo da questo

Dettagli

Sicurezza negli ambienti di testing. Grancagnolo Simone Palumbo Claudio

Sicurezza negli ambienti di testing. Grancagnolo Simone Palumbo Claudio Sicurezza negli ambienti di testing Grancagnolo Simone Palumbo Claudio Obiettivo iniziale: analizzare e testare il Check Point VPN-1/FireWall-1 Condurre uno studio quanto più approfondito possibile sulle

Dettagli

CARATTERISTICHE DELLE CRYPTO BOX

CARATTERISTICHE DELLE CRYPTO BOX Secure Stream PANORAMICA Il sistema Secure Stream è costituito da due appliance (Crypto BOX) in grado di stabilire tra loro un collegamento sicuro. Le Crypto BOX sono dei veri e propri router in grado

Dettagli

IS AUDITING PROCEDURE

IS AUDITING PROCEDURE IS AUDITING PROCEDURE INTRUSION DETECTION SYSTEM (IDS) REVIEW Romeo Costanzo IT Telecom (Gruppo Telecom Italia) CISA, CCNA, SCJP Agenda L aspetto tecnologico Le procedure di verifica Conclusioni Alcune

Dettagli

Filtraggio del traffico IP in linux

Filtraggio del traffico IP in linux Filtraggio del traffico IP in linux Laboratorio di Amministrazione di Sistemi L-A Dagli appunti originali di Fabio Bucciarelli - DEIS Cos è un firewall? E un dispositivo hardware o software, che permette

Dettagli

Si S curezza a sw w net il c orr r e r tto design del t uo s istema i nform r atico una soluzione

Si S curezza a sw w net il c orr r e r tto design del t uo s istema i nform r atico una soluzione Sicurezza asw net il corretto design del tuo sistema informatico una soluzione Sicurezza asw net un programma completo di intervento come si giunge alla definizione di un programma di intervento? l evoluzione

Dettagli

I Sistemi Firewall CEFRIEL. Politecnico di Milano. Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione. Politecnico di Milano

I Sistemi Firewall CEFRIEL. Politecnico di Milano. Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione. Politecnico di Milano Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione Politecnico di Milano I Sistemi Firewall CEFRIEL Politecnico di Milano I sistemi Firewall I sistemi firewall sono utilizzati per

Dettagli

Sicurezza dei sistemi e delle reti Introduzione

Sicurezza dei sistemi e delle reti Introduzione Sicurezza dei sistemi e delle reti Introduzione Damiano Carra Università degli Studi di Verona Dipartimento di Informatica Riferimenti! Cap. 8 di Reti di calcolatori e Internet. Un approccio topdown, J.

Dettagli

Sistemi firewall. sicurezza reti. ICT Information & Communication Technology

Sistemi firewall. sicurezza reti. ICT Information & Communication Technology Sistemi firewall sicurezza reti Firewall sicurezza In informatica, nell ambito delle reti di computer, un firewall è un componente passivo di difesa perimetrale di una rete informatica, che può anche svolgere

Dettagli

Autenticazione ed integrità dei dati Firewall

Autenticazione ed integrità dei dati Firewall Pagina 1 di 9 Autenticazione ed integrità dei dati Firewall Per proteggere una rete dagli attacchi provenienti dall'esterno si utilizza normalmente un sistema denominato Firewall. Firewall è un termine

Dettagli

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Obiettivo: realizzazione di reti sicure Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Per quanto riguarda le scelte tecnologiche vi sono due categorie di tecniche: a) modifica

Dettagli

UN APPROCCIO INTEGRATO ALLA SICUREZZA

UN APPROCCIO INTEGRATO ALLA SICUREZZA UN APPROCCIO INTEGRATO ALLA SICUREZZA Le diverse soluzioni per la sicurezza si sono evolute nel corso degli anni al fine di indirizzare problematiche specifiche, andandosi così a posizionare in punti precisi

Dettagli

CORSO EDA Informatica di base. Sicurezza, protezione, aspetti legali

CORSO EDA Informatica di base. Sicurezza, protezione, aspetti legali CORSO EDA Informatica di base Sicurezza, protezione, aspetti legali Rischi informatici Le principali fonti di rischio di perdita/danneggiamento dati informatici sono: - rischi legati all ambiente: rappresentano

Dettagli

Calcolo numerico e programmazione. Sistemi operativi

Calcolo numerico e programmazione. Sistemi operativi Calcolo numerico e programmazione Sistemi operativi Tullio Facchinetti 25 maggio 2012 13:47 http://robot.unipv.it/toolleeo Sistemi operativi insieme di programmi che rendono

Dettagli

Introduzione alla. Sicurezza: difesa dai malintenzionati. Proprietà Attacchi Contromisure. Prof. Filippo Lanubile. Prof.

Introduzione alla. Sicurezza: difesa dai malintenzionati. Proprietà Attacchi Contromisure. Prof. Filippo Lanubile. Prof. Introduzione alla sicurezza di rete Proprietà Attacchi Contromisure Sicurezza: difesa dai malintenzionati Scenario tipico della sicurezza di rete: man in the middle Proprietà fondamentali della sicurezza

Dettagli

Man-in-the-middle su reti LAN

Man-in-the-middle su reti LAN Università degli Studi di Udine Dipartimento di Ingegneria Gestionale, Elettrica e Meccanica 21 Marzo 2011 Scaletta 1 2 LAN switched ARP Alcuni attacchi MITM 3 4 5 Che cos è L attacco man-in-the-middle

Dettagli

security Firewall UTM

security Firewall UTM security Firewall UTM Antispam Firewall UTM Antivirus Communication VPN IDS/IPS Security MultiWAN Hotspot MultiZona Aggiornamenti automatici Proxy Collaboration IP PBX Strumenti & Report Monitraggio Grafici

Dettagli

La soluzione Cisco Network Admission Control (NAC)

La soluzione Cisco Network Admission Control (NAC) La soluzione Cisco Network Admission Control (NAC) Oggi non è più sufficiente affrontare le problematiche relative alla sicurezza con i tradizionali prodotti per la sola difesa perimetrale. È necessario

Dettagli

Allegato 2: Prospetto informativo generale

Allegato 2: Prospetto informativo generale Gara a procedura ristretta accelerata per l affidamento, mediante l utilizzo dell Accordo Quadro di cui all art. 59 del D.Lgs. n. 163/2006, di Servizi di Supporto in ambito ICT a InnovaPuglia S.p.A. Allegato

Dettagli

Gestione Proattiva di Minacce di Sicurezza. StoneGate Management Center White Paper

Gestione Proattiva di Minacce di Sicurezza. StoneGate Management Center White Paper Gestione Proattiva di Minacce di Sicurezza StoneGate Management Center White Paper Marco Rottigni 4/27/2007 Pag. 2 di 8 Sommario Capitolo 1 Introduzione 3 Capitolo 2 StoneGate Management Center Security

Dettagli

Firewall-Proxy Clanius Appliance Extreme [v1.0]

Firewall-Proxy Clanius Appliance Extreme [v1.0] Firewall-Proxy Clanius Appliance Extreme [v1.0] STOP AI PERICOLI DI NAVIGAZIONE INTERNET! In cosa consiste? Firewall-Proxy Clanius Appliance Extreme è la soluzione completa e centralizzata per monitorare,

Dettagli

Sicurezza. IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it

Sicurezza. IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it Sicurezza IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it La sicurezza La Sicurezza informatica si occupa della salvaguardia dei sistemi informatici da potenziali rischi e/o violazioni dei dati

Dettagli

High Speed Traffic Capture with ntop. Riccardo Paterna

High Speed Traffic Capture with ntop. Riccardo Paterna <paterna@ntop.org> High Speed Traffic Capture with ntop Riccardo Paterna 1 Who am I? Riccardo Paterna Network Evangelist at ntop.org President @System (www.atsystem.org) 2 Di cosa Parleremo? Il progetto ntop Cattura dei

Dettagli